در این مقاله قصد داریم نحوهی ایمیج گرفتن از Ram را برای تجزیهوتحلیل را بیاموزیم. راههای مختلفی برای انجام آن وجود دارد اما اجازه دهید کمی وقت بگذاریم و یاد بگیریم که هرکدام در چه شرایطی استفاده میشوند.
RAM چیست؟
RAM مخفف Random Access Memory است. این قطعه بهعنوان حافظه اصلی کامپیوتر یاد میشود که برای روشن شدن سیستم بسیار مهم است. RAM به کاربر اجازه میدهد تا بهطور موقت دادهها را در سیستمی که از آن استفاده میکند ذخیره کند. اما ازآنجاییکه RAM حافظهای فرار است، تمام اطلاعات ذخیرهشده در RAM بهمحض قطع شدن برق از بین خواهند رفت. RAM هم قابلخواندن و هم قابلنوشتن است که دسترسی به آن را آسان میکند.
اهمیت RAM در این است که سیستم شمارا سریعتر میکند چون ذخیرهسازی در Hard Disk شما زمان زیادی طول میکشد. درمجموع، میتوانید نتیجه بگیرید که RAM به بهبود عملکرد دستگاه شما کمک میکند.
فواید ایمیج گرفتن از Ram
ایمیج گرفتن از Ram بسیار مهم است، چون investigator ها دریافتهاند که بسیاری از دادهها را میتوان در حافظه فرار (volatile memory) پیدا کرد. رمها میتوانند شواهد مهمی در تحقیقات باشند و به investigator اجازه میدهند تا بفهمند یک مظنون از چه برنامههایی استفاده شده است یا چه برنامه حین حمله استفادهشده. همچنین ممکن است attacker از راه دور برخی دادهها و ابزارها را روی Ram بجای Disk ذخیره کرده باشد.
ایمیج گرفتن از Ram با Dumpit
Dumpit یک ابزار جمعوجور است که میتواند ذخیره محتویات Ram سیستم شمارا آسان کند. اینیک ابزار کنسولی است اما نیازی به باز کردن خط فرمان یا تسلط بر سوئیچهای خط فرمان را ندارد. در عوض، تنها کاری که باید انجام دهیم این است که فقط double click روی فایل آن برای تولید یک کپی از حافظه فیزیکی در دایرکتوری جاری است.
همانطور که در تصویر بالا میبینیم این ابزار در حال حاضر مسیر ذخیره Image را که ایجاد کرده نمایش میدهد. همان مسیر جاری نرمافزار است و در انتها از ما میخواهد که ادامه دهیم یا نه. اگر میخواهیم ادامه دهیم، باید “y” را فشار دهیم.
در صورت اتمام موفقیتآمیز فرآیند پیغام “success” نمایش داده میشود. با باز کردن CMD در مسیر جاری با زدن دستورdir وجود فایل capture را بررسی میکنیم.
Magnet Forensics
Magnet Forensics یک ابزار رایگان Ram capturing که برای ذخیره حافظه فیزیکی سیستم مشکوک استفاده میشود. این ابزار به investigator ها اجازه میدهد تا حقایق ارزشمندی را که فقط در حافظه سیستم یافت میشود تجزیهوتحلیل و بازیابی کنند.
Magnet Ram capture دارای حافظه کوچکی است. به این معنی که investigators میتواند ابزار را درحالیکه دادهها در Ram در حال overwrite است، اجرا کند. ما میتوانیم دادههای حافظه را با فرمت Raw (.DMP/.RAW/.BIN) بگیریم و بهراحتی آنها را تجزیهوتحلیل کنیم.
این ایمیج گرفتن میتواند بهعنوان مدرک در forensic investigation استفاده شود. برخی از شواهدی که در RAM یافت میشوند پردازش میشوند، برنامهای که روی سیستم اجرا میشود، اتصالات شبکه، شواهدی از نفوذ بدافزار، رجیستری، نامهای کاربری و رمز عبور، فایلها و کلیدهای رمزگشاییشده و غیره. اکنون میتوانیم با اجرای نرمافزار و با کلیک روی آن، فرآیند ضبط Ram و ایمیج گرفتن را شروع کنیم.
حال میبینیم که فرآیند capture با موفقیت انجام میشود.
با توجه به تصویر بالا میبینیم که میتوانیم نام و فرمت memory image را مشخص کنیم.
فرآیند ایمیج گرفتن بستگی به حجم Ram دارد.
پس از تکمیل فرآیند ایمیج گرفتن، یک پیغام دریافت شده که نشان میدهد فرآیند موفقیتآمیز است. مسیری که فایل ما در آن قرار دارد را در اختیار ما قرار میدهد که قبلاً توسط ما ارائهشده بود.
همانطور که در تصویر بالا میبینیم که ایمیج گرفتن ما با موفقیت ایجادشده است، میتوانیم آن تصویر حافظه را تجزیهوتحلیل کنیم.
Access data FTK imager
FTK Imager میتواند live image و paging file را برای هر دو نسخه ۶۴و ۳۲ بیتی windows انجام دهد. مهم نیست که با چه تعداد داده مختلف سروکار داریم یا مقدار داده چقدر است.FTK سریعتر و بهتر از هر چیز دیگری به کمک ما میرسد. نرمافزار را اجرا میکنیم.
روی دکمه فایل کلیک میکنیم.
بعد از باز شدن پنجره روی گزینه Capture Memory کلیک میکنیم.
در این صفحه علاوه بر مسیر ذخیره فایل و اسم فایل همچنین وضعیت ساخت AD1 file و کپ چر کردن pagefile را میتوانیم مشخص کنیم.
بعد از ثبت موارد بالا و شروع فرآیند در صفحه بالا مسیر ذخیره فایل و همچنین وضعیت لحظهای image file را نمایش میدهد.
بعد از اتمام فرآیند پیغام “Memory capture finished successfully” نمایش داده میشود.
Belkasoft Live RAM Capturer
اینیک ابزار forensic رایگان برای استخراج قابلاعتماد تمام محتوای volatile memory سیستم است. حتی اگر توسط برخی از سیستمهای active anti-debugging محافظتشده باشد. درصورتیکه ساختهای جداگانه ۳۲ بیتی و ۶۴ بیتی آن برای به حداقل رساندن ردپای ابزار تا حد امکان در دسترس باشد. این ابزار دارای دو نسخه ۶۴ بیتی و ۳۲ بیتی است. بعد از دانلود و نصب برنامه را باز میکنیم و مسیر ذخیره image file را قرار داده و روی capture کلیک میکنیم.
بعد از شروع نرمافزار شروع به استفاده از درایوهای خود برای فرایند capture میکند همچنین وضعیت capture memory را میتوانید مشاهده کنید.
بعد از اتمام فرآیند پنجرهی برنامه را میبندیم. اینها برخی از راهها یا ابزارهایی برای گرفتن live memory image جهت تجزیهوتحلیل است. این ابزارها برای جستجوی برخی شواهد در تحقیقات investigator در پروندههای خود کمک کنند.
این مقاله از منبع زیر ترجمهشده است
https://www.hackingarticles.in/multiple-ways-to-capture-memory-for-analysis
امیدوارم از مقالهی ایمیج گرفتن از Ram لذت برده باشید. در صورت علاقه به آموزش تست نفوذ شبکه میتوانید در دورههای تست نفوذ شبکه آکادمی تکوان ۲۴ شرکت کنید.